Meilleures pratiques pour répondre à l'exigence de contrôle d'accès du CMMC

Pour être conforme au CMMC dans le domaine de la maintenance, il est essentiel de mettre en œuvre les meilleures pratiques. Voici plusieurs stratégies que les sous-traitants de la défense peuvent adopter pour garantir que leurs systèmes et applications sont correctement entretenus afin de protéger les informations non classifiées contrôlées (CUI) et les informations des contrats fédéraux (FCI) conformément au cadre du Cybersecurity Maturity Model Certification (CMMC) :

1. Effectuer des audits réguliers du système : Passez en revue et évaluez systématiquement votre infrastructure technologique pour détecter et résoudre tout problème lié à la maintenance du système, qui pourrait potentiellement compromettre la fonctionnalité et la sécurité des systèmes.
2. Déployer une gestion automatisée des correctifs : Installez les derniers correctifs de sécurité et mises à jour pour les logiciels et systèmes d’exploitation afin de garantir que tous les systèmes restent à jour avec les dernières améliorations de sécurité.
3. Documenter les processus de maintenance : Documentez chaque étape et action effectuée lors de la maintenance, y compris la date et l’heure de l’activité, les personnes impliquées, les tâches spécifiques réalisées, ainsi que les matériaux ou pièces utilisés.
4. Faire appel à des évaluations tierces : Utilisez des organisations d’évaluation tierces certifiées (C3PAOs) pour examiner les pratiques de maintenance afin d’identifier les domaines qui pourraient ne pas répondre aux normes de l’industrie ou qui pourraient être optimisés pour une meilleure efficacité et fiabilité.
5. Mettre en œuvre des procédures de gestion des changements : Définissez clairement les changements à apporter aux systèmes, qu’il s’agisse de mises à jour, de modifications ou de corrections. Chaque changement doit être méticuleusement documenté pour créer un enregistrement détaillé.
6. Déployer des mesures de contrôle d’accès : Établissez des protocoles et des directives stricts qui déterminent qui est autorisé à accéder à diverses fonctionnalités du système et à effectuer des tâches spécifiques. Les contrôles d’accès garantissent que seules les personnes autorisées, comme les administrateurs informatiques ou le personnel de maintenance désigné, ont la capacité d’effectuer des activités de maintenance sur les systèmes et infrastructures critiques.
7. Établir une planification de réponse aux incidents : Développez et maintenez un plan de réponse aux incidents spécifiquement conçu pour traiter tout incident de sécurité lié aux activités de maintenance.
8. Collaborer avec les fournisseurs : Établissez des canaux de communication clairs et des points de contrôle réguliers pour discuter des attentes en matière de conformité et des progrès réalisés. Fournissez aux fournisseurs des directives détaillées et des ressources pour les aider à comprendre les critères de maintenance définis par le CMMC.